作者:資安顧問 Taien

跨網站指令碼 (Cross-Site Script, XSS) 在之前[資安小常識]什麼是跨網站指令碼 XSS 攻擊?介紹過,Cross-Site Script 按造縮寫我們知道是 CSS,為什麼不叫 CSS 呢?第一個原因當然是因為它跟網頁設計常用的串接樣式表 (Cascading Style Sheets, CSS) 同名,那為什麼要改 XSS 呢?主要原因就是邪惡的東西通常用 X 來表示,所以造成了 XSS 這個大家熟悉的名稱。

為什麼又要老生常談這個攻擊呢?因為今年開始各手機廠商已經進入戰國時代,手機商為了要與眾不同可以看到現在紛紛推出了社群網站專用機,而社群網站與 Web2.0 平台就是最容易遇到所謂的 XSS 攻擊,可以遇見的是在手持裝置支援越來越多,XSS 也將更無遠弗屆,你也許覺得這個東西離你很遠,那就讓我們來回顧一些相關的新聞:

2006/11/21 無名小站遇「駭」 個資流入中國
2007/07/03 Yahoo! 郵件 (XSS 攻擊) - 影片
2009/04/11 17 歲少年:Twitter 的 XSS 蠕蟲是我做的
2009/06/22 FB HIveg 聲稱破解 Facebook 可以讀取設定不共享資料用戶的資料
2009/06/27 誰在看我的噗?第一回:DOM 沙盒 vs 跨網站腳本漏洞(XSS)- Plurk XSS
2010/03/13 Apache.org 被 XSS 攻擊,造成密碼外洩
2010/07/27 攻擊 Facebook 的 XSS 弱點-影片
2010/10/03 Facebook 的 XSS 攻擊,如何建構破壞性的蠕蟲-影片 ...

 

攻擊 Facebook 的 XSS 弱點-弱點驗證影片

由上我們可以看到常見的社群網站 (Facebook, Plurk, Twitter…)、Web 相關服務 (Yahoo Mail, Yahoo! Login) 等甚至是 Apache 官方受到 XSS 攻擊而吃上悶虧,它與以往的攻擊不太一樣,有句跨站腳本名言說『廠商出包,駭客真爽』,也就是說儘管今天是服務提供者出了問題,但實際造成損失的大多是一般的使用者,雖然官方有時也會有損失。駭客會透過精心建構的攻擊語法放置在網頁上、郵件中甚至是網址等各個你會碰觸到的地方。它主要都是透過執行網頁程式時觸發攻擊,一不注意的結果下場就是隱藏相簿外流、帳號遭挾持、電腦被控制、視訊被偷看,因此建議在瀏覽不信任網頁的時候,請關閉 JavaScript 的功能,或是全面使用Internet Explorer 8 (IE8) 甚至是最新的 Internet Explorer 9(IE9) 內建的跨網站指令碼篩選器來自動保護您。

其實 IE8 已經設計多項資安功能(跨網站指令碼篩選器、InPrivate 瀏覽、SmartScreen 篩選、網域醒目提示),而 IE9 更進一步的提供了(追蹤保護、附加元件效能警告器、ActiveX 篩選、索引標籤隔離與復原),並透過更簡單的介面來全面提升一般使用者的網路安全,接下來讓我們來看看這 8 個為了使用者安全設計的功能

  1. 跨網站指令碼篩選器
  2. InPrivate 瀏覽
  3. SmartScreen 篩選
  4. 網域醒目提示
  5. 追蹤保護
  6. 附加元件效能警告器
  7. ActiveX 篩選
  8. 索引標籤隔離與復原

IE9 資安功能1 - 跨網站指令碼篩選器

這個功能最先講的原因是因為它可以有效保護我們在社群網站遇到隱藏的 XSS 或是 CSRF 的攻擊,IE8 開始內建的跨網站指令篩選器便不須額外啟動就會自動保護,唯一的缺點是以往程式設計師不安全的寫法需要自行做修正,以免造成使用者的不便,對一般使用者幾乎沒有任何影響。以下我們設計了幾個攻擊語法來實際測試各版本的防禦效果:

XSS 測試攻擊語法 1:
<IMG SRC="javascript:alert(document.cookie+', This XSS Attck');">

Internet Explorer 9 防禦效果

IE9 成功防禦 XSS 攻擊, 攻擊失效

Internet Explorer 8 防禦效果

IE8 成功防禦 XSS 攻擊, 攻擊失效

Internet Explorer 6 防禦效果

IE6 沒有防禦功能, 可以看到攻擊觸發彈出視窗

XSS 測試攻擊語法 2:
index.php?get=<img src="javascript:alert('xss')">

Internet Explorer 9 防禦效果

IE9 跨站腳本過濾器提示,並自動將攻擊語法替換為<img src=?javasc#ipt:alert(?xss?)?>

 

Internet Explorer 8 防禦效果

IE8 跨站腳本過濾器提示,並自動將攻擊語法替換為<img src="javasc#ipt:alert('xss')">

Internet Explorer 6 防禦效果

IE6 完全沒有做防禦, 測試攻擊又被觸發

IE9 資安功能2 - InPrivate瀏覽

IE9 工具列>工具>安全性>InPrivate 瀏覽功能 (Ctrl+Shift+P)

開啟 InPrivate 瀏覽模式後,網址列出現 InPrivate 字樣

InPrivate 瀏覽協助您實現隱私瀏覽的功能,當在別人的電腦,或是您有一些私密的上網行為不希望被紀錄或是有心人士取得您的上網紀錄與資料,請使用這個功能它可以讓您走過不留痕跡。詳細的運作請參考:http://windows.microsoft.com/zh-TW/windows-vista/What-is-InPrivate-Browsing

InPrivate 瀏覽在關閉瀏覽器後絕對不會紀錄您的上網資訊

這時候有女朋友的你就不用擔心偷看正妹圖被正宮女友抓包了,真的是保護愛情必備良藥阿。

IE9 資安功能3 - SmartScreen 篩選

IE9 工具列>工具>安全性>啟動 SmartScreen 篩選工具(預設是開啟的)
在 SmartScreen 篩選啟動的狀況下如果網站是釣魚網站 (Phisging website),IE9 便會自動警告您這是一個釣魚網站並出現警告頁面避免使用者遭受攻擊(當然如果您發現是誤報可以回報給官方)

釣魚網頁警告

如果網站是惡意網站 (Malware website),IE9 一樣會自動警告您這是一個惡意網站,並提示您這個網站可能遭受病毒或是有惡意程式連結,提醒您再次檢查無誤後再瀏覽。
惡意網頁警告
在 SmartScreen 篩選關閉的狀況下您也可以自行檢查網頁是否有問題
IE9 工具列>工具>安全性>檢查此網站

SmartScreen 的檢測報告

IE9 資安功能4 - 網域醒目提示

IE9 貼心的為你把網域名稱作提醒,避免您不小心掉入了釣魚網站中,有了這樣功能下次在瀏覽網頁的時候,就可以一眼看穿有問題的網址了

IE9 資安功能5 - 追蹤保護

一般網站為了要分析使用者的使用習慣或是其他需求需要取得使用者資料來作行銷或其他分析,這時候網頁中會有一些紀錄程式來追蹤您的資訊及行蹤,據統計目前有 2.55 億個網站使用 cookie 來儲存或是監控使用者資料,因此 IE9 提供了追蹤保護功能,您可以限制這些要追蹤您行為的網站保護您的隱私。

IE9 工具列>工具>安全性>追蹤保護

在追蹤保護的編籤,需要自己起用個人化清單

這裡可以看到追蹤您狀態的提供者,您可以在這裡封鎖/允許它們

IE9 資安功能6 - 附加元件效能警告器

以往使用者會自行加入許多的附加元件造成瀏覽器整體效能下降,IE9 提供附加元件效能警告器會持續監控各元件,主動通知您停用有問題的元件或是修正問題,讓您的瀏覽不會再找不到變慢的原因。

IE9 資安功能7 - ActiveX 篩選

ActiveX 是網頁常用的一種技術,它可以讓開發人員對網頁作更豐富更流暢的操作,許多銀行也用 ActiveX 來開發相關的登入程式,但控制的多,危險也相對許多,而 ActiveX 篩選可以讓您封鎖所有網站的 ActiveX 控制項,然後僅開放您信任的網站,讓您可以有效的對付這些危險又不可靠的 ActiveX 控制項。

IE9 工具列>工具>安全性>ActiveX 篩選

ActiveX篩選開啟

 

IE9 資安功能8 -索引標籤隔離與復原

以往在 IE 的標籤頁崩潰壞掉的時候總是連帶得讓其它一起的標籤頁掛掉,這次微軟修正了這個問題讓壞掉的頁面不會影響其它的分頁而且系統會自動重新載入讓您回到當機前瀏覽的畫面,真正達到瀏覽不中斷。

後記

看到了這次 Internet Explorer 9 這麼多的資安功能,您可以檢查看看手邊的瀏覽器是否有這功能,如果沒有請盡快更換,因為駭客的攻擊永遠不會等你,多一分小心就多一分保障,希望大家都可以安全地享受網路世界,IE9 其他高效能與強大的瀏覽效果就留給大家玩了。
其它資料: